Eu tenho os eventos abaixo que ocorrem repetidamente em meu audit.log. Alguém pode fornecer a sintaxe válida da regra para o arquivo audit.rules, que impediria essas 6 entradas específicas?
Idealmente, quero que o filtro seja aplicado a type= para os seis mostrados abaixo e para uid=0 e auid-4294967295 e ses=4294967295 e exe=/bin/su e result=success .
Isso é possível remotamente?
Estou a descobrir que o sinalizador -F msgtype=USER_AUTH só é válido para a regra -a exclude e não consigo utilizar quaisquer outros sinalizadores com exclusão, como -F auid=4294967295 . E não posso excluir todos os tipos de USER_AUTH e perder eventos básicos.
node=testserver type=USER_AUTH msg=audit(1480608618.705:570): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_ACCT msg=audit(1480608618.705:571): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_ACQ msg=audit(1480608618.705:572): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_START msg=audit(1480608618.705:573): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_open acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=USER_END msg=audit(1480608618.817:574): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:session_close acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
node=testserver type=CRED_DISP msg=audit(1480608618.817:575): user pid=15378 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="efadmin" exe="/bin/su" (hostname=?, addr=?, terminal=? res=success)'
Tags linux-audit